CVE-2026-25049 n8n দুর্বলতা

n8n ওয়ার্কফ্লো অটোমেশন প্ল্যাটফর্মে একটি নতুন প্রকাশিত নিরাপত্তা দুর্বলতা নির্দিষ্ট শর্তের অধীনে নির্বিচারে সিস্টেম কমান্ড কার্যকর করার অনুমতি দেয়। ত্রুটিটি CVE-2026-25049 হিসাবে ট্র্যাক করা হয়েছে এবং এর CVSS স্কোর 9.4, যা এর গুরুতর তীব্রতা প্রতিফলিত করে। যদি সফলভাবে কাজে লাগানো হয়, তাহলে সমস্যাটি আক্রমণকারীদের n8n হোস্টিং সার্ভারে সিস্টেম-স্তরের কমান্ড কার্যকর করতে সক্ষম করে।

পূর্বে প্যাচ করা দুর্বলতার বাইপাস

CVE-2026-25049 এর উৎপত্তি অপর্যাপ্ত স্যানিটাইজেশনের ফলে, যা CVE-2025-68613 (CVSS 9.9) এর প্রতিকারের জন্য প্রবর্তিত সুরক্ষাগুলিকে এড়িয়ে যায়, যা 2025 সালের ডিসেম্বরে প্যাচ করা একটি গুরুত্বপূর্ণ দুর্বলতা। পরবর্তী বিশ্লেষণে দেখা গেছে যে নতুন CVE কার্যকরভাবে সম্পূর্ণ স্বতন্ত্র সমস্যার পরিবর্তে মূল সমাধানকে বাইপাস করে। গবেষকরা দেখিয়েছেন যে উভয় ত্রুটিই আক্রমণকারীদের n8n এর এক্সপ্রেশন স্যান্ডবক্স থেকে পালাতে এবং বিদ্যমান সুরক্ষা পরীক্ষাগুলিকে এড়িয়ে যেতে সাহায্য করে। পূর্ববর্তী প্রকাশের পরে, এক্সপ্রেশন মূল্যায়নের অতিরিক্ত দুর্বলতাগুলিও চিহ্নিত করা হয়েছিল এবং সমাধান করা হয়েছিল।

আক্রমণের পূর্বশর্ত এবং শোষণের কৌশল

ওয়ার্কফ্লো তৈরি বা পরিবর্তন করার অনুমতিপ্রাপ্ত যেকোনো প্রমাণিত ব্যবহারকারী এই দুর্বলতা কাজে লাগাতে পারেন। ওয়ার্কফ্লো প্যারামিটারে তৈরি এক্সপ্রেশন ইনজেক্ট করার মাধ্যমে, অপ্রত্যাশিত সিস্টেম কমান্ড এক্সিকিউশন ট্রিগার করা সম্ভব হয়ে ওঠে। একটি বিশেষ বিপজ্জনক পরিস্থিতি হল এমন একটি ওয়ার্কফ্লো তৈরি করা যা প্রমাণীকরণ ছাড়াই সর্বজনীনভাবে অ্যাক্সেসযোগ্য ওয়েবহুককে প্রকাশ করে। ডেস্ট্রাক্টরিং সিনট্যাক্স ব্যবহার করে জাভাস্ক্রিপ্টের একটি লাইন এম্বেড করে, আক্রমণকারীরা ওয়ার্কফ্লোকে সিস্টেম কমান্ড এক্সিকিউট করতে বাধ্য করতে পারে। একবার এই ধরনের ওয়ার্কফ্লো সক্রিয় হয়ে গেলে, যেকোনো বহিরাগত পক্ষ ওয়েবহুক ট্রিগার করতে পারে এবং দূরবর্তীভাবে কমান্ড এক্সিকিউট করতে পারে।

n8n এর ওয়েবহুক কার্যকারিতার সাথে মিলিত হলে তীব্রতা আরও বেড়ে যায়, যা দূষিত কর্মপ্রবাহকে জনসমক্ষে প্রকাশ করার অনুমতি দেয়। এই ধরনের ক্ষেত্রে, শোষণের জন্য কর্মপ্রবাহ তৈরির বাইরে উচ্চতর সুযোগ-সুবিধার প্রয়োজন হয় না, যা গবেষকদের দ্বারা সংক্ষেপিত ঝুঁকিকে জোর দিয়ে বলে: যদি কর্মপ্রবাহ তৈরির অনুমতি দেওয়া হয়, তাহলে সম্পূর্ণ সার্ভার আপস অর্জনযোগ্য।

মূল কারণ: টাইপ এনফোর্সমেন্ট গ্যাপস এবং রানটাইম অপব্যবহার

n8n এর স্যানিটাইজেশন প্রক্রিয়ার ফাঁক এবং টাইপস্ক্রিপ্টের কম্পাইল-টাইম টাইপ সিস্টেম এবং জাভাস্ক্রিপ্টের রানটাইম আচরণের মধ্যে মৌলিক অমিলের কারণে এই দুর্বলতা দেখা দেয়। যদিও টাইপস্ক্রিপ্ট কম্পাইলেশনের সময় টাইপ সীমাবদ্ধতা প্রয়োগ করে, রানটাইমে প্রবর্তিত আক্রমণকারী-নিয়ন্ত্রিত মানগুলির জন্য এটি এই সীমাবদ্ধতাগুলির গ্যারান্টি দিতে পারে না। অবজেক্ট বা অ্যারের মতো নন-স্ট্রিং মান সরবরাহ করে, আক্রমণকারীরা স্ট্রিং-ওনলি ইনপুট ধরে নেওয়া স্যানিটাইজেশন লজিককে বাইপাস করতে পারে, কার্যকরভাবে গুরুত্বপূর্ণ নিরাপত্তা নিয়ন্ত্রণগুলিকে নিরপেক্ষ করে।

সিস্টেম এবং ডেটার উপর সম্ভাব্য প্রভাব

সফল শোষণের ফলে সম্পূর্ণ সার্ভারের ক্ষতি হতে পারে। আক্রমণকারীরা শংসাপত্র চুরি করতে পারে, সংবেদনশীল ডেটা বের করে দিতে পারে, ফাইল সিস্টেম এবং অভ্যন্তরীণ পরিষেবাগুলিতে অ্যাক্সেস করতে পারে, সংযুক্ত ক্লাউড পরিবেশে পিভট করতে পারে এবং কৃত্রিম বুদ্ধিমত্তার কর্মপ্রবাহ হাইজ্যাক করতে পারে। স্থায়ী ব্যাকডোর ইনস্টল করার ক্ষমতা দীর্ঘমেয়াদী, গোপন অ্যাক্সেসের ঝুঁকি আরও বাড়িয়ে তোলে।

প্রভাবিত সংস্করণ এবং প্রশমন নির্দেশিকা

এই দুর্বলতাটি প্যাচ করা রিলিজের আগে n8n সংস্করণগুলিকে প্রভাবিত করে এবং দশজন স্বাধীন নিরাপত্তা গবেষকের অবদানের মাধ্যমে এটি আবিষ্কৃত হয়েছে। তাৎক্ষণিক প্যাচিং সম্ভব না হলে নিম্নলিখিত সংস্করণগুলি প্রভাবিত হয়, পাশাপাশি প্রস্তাবিত অন্তর্বর্তীকালীন প্রশমনও করা হয়:

প্রভাবিত সংস্করণ: 1.123.17 এবং 2.5.2 এর আগের n8n সংস্করণ, যেখানে সংশোধনগুলি প্রকাশ করা হয়েছে।

প্রস্তাবিত প্রশমন: কর্মপ্রবাহ তৈরি এবং সম্পাদনা সম্পূর্ণ বিশ্বস্ত ব্যবহারকারীদের মধ্যে সীমাবদ্ধ রাখুন, এবং সীমিত অপারেটিং সিস্টেম সুবিধা এবং সীমিত নেটওয়ার্ক অ্যাক্সেস সহ একটি কঠোর পরিবেশে n8n স্থাপন করুন।

এই ইস্যুটি স্তরযুক্ত বৈধতা কৌশলগুলির প্রয়োজনীয়তা তুলে ধরে। কম্পাইল-টাইম গ্যারান্টিগুলি কঠোর রানটাইম চেক দ্বারা পরিপূরক করা উচিত, বিশেষ করে যখন অবিশ্বস্ত ইনপুট পরিচালনা করা হয়। কোড পর্যালোচনাগুলি স্যানিটাইজেশন রুটিনের উপর ফোকাস করা উচিত এবং রানটাইমে প্রয়োগ করা হয় না এমন ইনপুট প্রকার সম্পর্কে অনুমান এড়ানো উচিত।

অতিরিক্ত উচ্চ-তীব্রতা n8n দুর্বলতা

CVE-2026-25049 এর পাশাপাশি, n8n আরও চারটি নিরাপত্তা ত্রুটির জন্য পরামর্শ প্রকাশ করেছে, যার মধ্যে দুটিকে সমালোচনামূলক হিসাবে চিহ্নিত করা হয়েছে:

CVE-2026-25053 (CVSS 9.4) : গিট নোডে অপারেটিং সিস্টেম কমান্ড ইনজেকশন, যা ওয়ার্কফ্লো অনুমতি সহ প্রমাণিত ব্যবহারকারীদের কমান্ড কার্যকর করতে বা ইচ্ছামত ফাইল পড়তে দেয়; সংস্করণ 2.5.0 এবং 1.123.10 এ সংশোধন করা হয়েছে।

CVE-2026-25054 (CVSS 8.5) : একটি মার্কডাউন রেন্ডারিং কম্পোনেন্টে সংরক্ষিত ক্রস-সাইট স্ক্রিপ্টিং দুর্বলতা, একই-অরিজিন সুবিধা এবং সম্ভাব্য অ্যাকাউন্ট টেকওভার সহ স্ক্রিপ্ট সম্পাদন সক্ষম করে; 2.2.1 এবং 1.123.9 সংস্করণে সংশোধন করা হয়েছে।

CVE-2026-25055 (CVSS 7.1) : SSH নোডে পাথ ট্র্যাভার্সাল সমস্যা যা অনিচ্ছাকৃত স্থানে ফাইল লেখার কারণ হতে পারে এবং টার্গেট সিস্টেমে রিমোট কোড কার্যকর করার সম্ভাবনা রয়েছে; 2.4.0 এবং 1.123.12 সংস্করণে এটি ঠিক করা হয়েছে।

CVE-2026-25056 (CVSS 9.4) : মার্জ নোডের SQL কোয়েরি মোডে নির্বিচারে ফাইল লেখার দুর্বলতা, যার ফলে রিমোট কোড এক্সিকিউশন হতে পারে; সংস্করণ 2.4.0 এবং 1.118.0 এ সংশোধন করা হয়েছে।

ঝুঁকি কমাতে জরুরি ভিত্তিতে আপডেট করুন

চিহ্নিত দুর্বলতার প্রশস্ততা এবং তীব্রতার পরিপ্রেক্ষিতে, n8n স্থাপনাগুলিকে সর্বশেষ উপলব্ধ সংস্করণগুলিতে আপডেট করার জন্য জোরালোভাবে সুপারিশ করা হচ্ছে। শোষণ এবং পরবর্তী আপসের বিরুদ্ধে দ্রুত প্যাচিং সবচেয়ে কার্যকর প্রতিরক্ষা হিসাবে রয়ে গেছে।